将 CBN 提醒迁移到 YARA-L 检测规则提醒
本文档详细介绍了如何迁移基于配置的标准化 (CBN) 和 YARA-L 检测警报。作为安全分析师,借助于 文档,您可以使用 提醒和 IOC 页面。
将 CBN 警报迁移到 YARA-L 检测引擎
如需迁移 CBN 提醒,您可以确保之前的 CBN 提醒满足以下条件 用作检测规则提醒。
使用 UDM 搜索
借助 UDM 搜索选项,您可以通过在解析器中设置 alert_state 来查看活动:
security_result.alert_state = "ALERTING"
在 UDM 搜索结果中,您可以浏览以下字段以了解 您的环境中哪些来源生成了 CBN 提醒:
Metadata>Vendor NameMetadata>Product Name
使用 Tools API 下载默认的 CBN 提醒,并人工审核
上述方法可帮助您查找已触发,但
涵盖您以前没有见过的警报场景。
您可以使用 backstory.googleapis.com/v1/tools/cbn 解析器方法下载
默认、选择或所有 CBN,并手动查看应用于
查找基于is_alert或alert_state的提醒。
您可以将 CBN 警报移植到您主动使用的 YARA-L 检测引擎规则警报中 。
迁移以前作为 CBN 提醒显示在 Enterprise Insights 中的 Windows Defender 防病毒提醒
以下示例展示了如何迁移以前作为 CBN 提醒显示在 Enterprise Insights 中的 Windows Defender 防病毒提醒。
使用上述任一方法查找示例提醒。
使用原始日志 / UDM 事件查看器,复制可提供可靠检测的选定 UDM 字段。请参阅以下示例。
metadata.vendor_name = "Microsoft" metadata.product_name = "Windows Defender AV" metadata.product_event_type = "MALWAREPROTECTION_STATE_MALWARE_DETECTED" principal.asset.hostname = "client02.example.local" security_result.action = "BLOCK" security_result.severity = "MEDIUM"创建新的 YARA-L 检测引擎规则。
rule windows_defender_av_monitored_events { meta: author = "Chronicle" description = "Migration of CBN alerts to Google Security Operations YARA-L detection engine rule alert." // Severity is set at the Outcome level via security_result.severity severity = "INFORMATIONAL" priority = "INFORMATIONAL" events: $windows_defender_av.metadata.vendor_name = "Microsoft" $windows_defender_av.metadata.product_name = "Windows Defender AV" $windows_defender_av.metadata.product_event_type = "MALWAREPROTECTION_STATE_MALWARE_DETECTED" $windows_defender_av.principal.asset.hostname = $host // optionally tune to only detection on ALLOW, i.e., failure to BLOCK //$windows_defender_av.security_result.action = "ALLOW" // optionally tune on severity of detection //$windows_defender_av.security_result.severity != "LOW" outcome: $risk_score = max( if ($windows_defender_av.security_result.severity = "UNKNOWN_SEVERITY", 0) + if ($windows_defender_av.security_result.severity = "LOW", 25) + if ($windows_defender_av.security_result.severity = "MEDIUM", 50) + if ($windows_defender_av.security_result.severity = "HIGH", 75) + if ($windows_defender_av.security_result.severity = "CRITICAL", 100) ) $severity = array_distinct($windows_defender_av.security_result.severity) condition: $windows_defender_av }
CBN 提醒所使用的字段似乎未解析为 UDM
使用解析器扩展选项可以快速解决这个问题。
例如,Corelight CBN 警报使用 notice 字段,并且仅在为 true 时才有条件地警报:
if [notice] == "true" {
mutate {
replace => {
"is_significant" => "true"
"is_alert" => "true"
}
}
}
默认情况下,此值不会标准化为 UDM,因此您可以使用解析器
扩展程序 Grok,将该值添加为 Additional 类型的 UDM 字段:
filter {
mutate {
replace => {
"notice" => ""
}
}
grok {
match => { "message" => [ "(?P<message>\{.*\})$" ] }
on_error => "_grok_not_syslog"
overwrite => [ "message" ]
}
json {
on_error => "not_json"
source => "message"
array_function => "split_columns"
}
if ![not_json] {
if [notice] != "" {
mutate {
convert => {
"notice" => "string"
}
}
mutate {
replace => {
"additional_notice.key" => "notice"
"additional_notice.value.string_value" => "%{notice}"
}
}
mutate {
merge => {
"event1.idm.read_only_udm.additional.fields" => "additional_notice"
}
}
mutate {
merge => {
"@output" => "event1"
}
}
}
}
}
然后,您可以在 YARA-L 检测引擎规则中利用此功能,如下所示,并使用 Maps 函数:
events:
// Corelight : Weird Log
(
$corelight.metadata.vendor_name = "Corelight" and
$corelight.metadata.product_name = "Zeek" and
// this requires a custom parser extension to extract notice
$corelight.metadata.product_event_type = "weird" and
$corelight.additional.fields["notice"] = "true"
)
您必须启用和打开编写的提醒规则。如需了解详情,请参阅运行规则实时数据。